Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)
- Ersteller Sir Jack Daniels
- Erstellt am
Hallo Sir Jack Daniels,
Bücher und Hardware zum Thema gibt es bei Amazon: Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)
Bücher und Hardware zum Thema gibt es bei Amazon: Vaultwarden auf Synology NAS bekomme ich nicht hin. Da kein HTTPS. (Vodafone)
Bitte um Erklärung. Das ist so nicht richtig - ich verwende Bitwarden (vaultwarden_rs) mit DDNS.
Es gibt bei ipv6 kein Portforwarding. Bei ipv6 gibt es nur Firewallfreischaltungen für die ipv6 und Ports - hier kann man auch keine Ports ummappen.
Gibt es ein Duckdns Packet für Synology? Wenn nicht, wie soll die ipv6 bei Duckdns aktualisiert werden? Bei ipv6 muss die von der Syno bei Duckdns gesetzt sein, nicht die von der Fritzbox.
Anmerkung: das Video verwendet einen Reverse Proxy von Homeassistent(?), der a) ein Letsencrypt Zertifikat erzeugt und b) die IP bei DuckDNS registriert. Das Video würde passen, wenn es a) Duckdns auf der Syno mit ipv6 zeigen würde, b) die Erzeugung des Letsencrypt-Zertifikats mit dem Synology Zertifikatsmanager und c) die Einrichtung des Synology Reverse-Proxies unter Verwendung des LE-Zertifikats...
Moin,
So habe nun eine IPv4 Adresse. Das sollte dies jetzt eigentlich etwas vereinfachen, hoffe ich.
So weit so gut.
Zumindestens konnte ich schon mal so auf die DS zugreifen. Aber komischerweise ohne HTTPS bzw. wurde als nicht sicher angezeigt,
obwohl ich ein Zertifikat von LetsEn... abgeruffen hatte. vielleicht muss ich es einfach nochmal neu machen da dies ja schon vorher gemacht wurde wo ich noch keine IPv4 hatte.
Vielleicht sollte ich alles noch einmal löschen und von vorne anfangen mit Docker und Vaultwarden, DDNS Adressen usw.
Sprich alles neu inst. und einrichten.
Duckdns habe ich bereits gelöscht.
Eine Frage, wenn ich es genauso mache wie in diesen Video (https://youtu.be/V3kJHoLuKxQ) dann sollte es doch eigentlich klappen oder?
So habe nun eine IPv4 Adresse. Das sollte dies jetzt eigentlich etwas vereinfachen, hoffe ich.
So weit so gut.
Zumindestens konnte ich schon mal so auf die DS zugreifen. Aber komischerweise ohne HTTPS bzw. wurde als nicht sicher angezeigt,
obwohl ich ein Zertifikat von LetsEn... abgeruffen hatte. vielleicht muss ich es einfach nochmal neu machen da dies ja schon vorher gemacht wurde wo ich noch keine IPv4 hatte.
Vielleicht sollte ich alles noch einmal löschen und von vorne anfangen mit Docker und Vaultwarden, DDNS Adressen usw.
Sprich alles neu inst. und einrichten.
Duckdns habe ich bereits gelöscht.
Eine Frage, wenn ich es genauso mache wie in diesen Video (https://youtu.be/V3kJHoLuKxQ) dann sollte es doch eigentlich klappen oder?
Ehrlich gesagt schmunzle ich fast immer nur über diese ganzen Videos und Tutorials.
Statt ewig irgendwelchen Tutorials hinterherzujagen, würde ich Dir eher empfehlen Screenshots von all deinen Konfigurationen zu machen, damit jemand anhand Deiner Konfiguration erkennen kann wo noch etwas nicht richtig sitzt.
Ich würde Dir empfehlen folgendes als Screenshots mit uns zu teilen (dabei bitte nur WAN-IPs, Domainnamen, Benutzernamen und Passwörter in den Screenshots anonymisieren - man soll ja noch die Chance haben zu erkennen wenn etwas nicht richtig konfiguriert ist):
- Portfreigabe der Fritzbox
- Portmappings des Bitwarden Containers
- Einstellung Reverse-Proxy Konfiguration
- Einstellung des Zertifikatsmanager, dass die Zuordnung LE-Zertifikat zur Domain zeigt
Ist dein Dyndns so konfiguriert, dass es auf Deine aktuelle WAN-IP aufgelöst wird?
Statt ewig irgendwelchen Tutorials hinterherzujagen, würde ich Dir eher empfehlen Screenshots von all deinen Konfigurationen zu machen, damit jemand anhand Deiner Konfiguration erkennen kann wo noch etwas nicht richtig sitzt.
Ich würde Dir empfehlen folgendes als Screenshots mit uns zu teilen (dabei bitte nur WAN-IPs, Domainnamen, Benutzernamen und Passwörter in den Screenshots anonymisieren - man soll ja noch die Chance haben zu erkennen wenn etwas nicht richtig konfiguriert ist):
- Portfreigabe der Fritzbox
- Portmappings des Bitwarden Containers
- Einstellung Reverse-Proxy Konfiguration
- Einstellung des Zertifikatsmanager, dass die Zuordnung LE-Zertifikat zur Domain zeigt
Ist dein Dyndns so konfiguriert, dass es auf Deine aktuelle WAN-IP aufgelöst wird?
Also auf die DS kommt ich jetzt mit HTTPS.
Juhu ein Erfolg.
Somit gehe ich davon aus das ich die Ports in der Fritzbox soweit richtig eingestellt habe.
Ja werde gleich mal Bilder machen. Ist wie du sagst glaube ich das einfachste.
Das Video war auch nur als Beispiel gedacht.
Juhu ein Erfolg.
Somit gehe ich davon aus das ich die Ports in der Fritzbox soweit richtig eingestellt habe.
Ja werde gleich mal Bilder machen. Ist wie du sagst glaube ich das einfachste.
Das Video war auch nur als Beispiel gedacht.
Was auffällt:
1. Dein LE-Zertifikat ist noch nicht der Domain zugordnet (Schaltfläche "Einstellung" im Screenshot "zertifikategeschwärzt.PNG" - entfern das Bild mal danach, da ist zu viel zu sehen...).
2. Der Reverse-Proxy Eintrag horcht auf Port 443, das Portforwarding von Port 8880 geht dran vorbei direkt auf den Container. Der Port auf den der RP horcht und der Port der weitergeleitet wird müssen zusammenpassen.
Offtopic:
3. Du hast bei der Portfreigabe für ipv6 auch die Delegation Prefixes freigegeben. Würde ich wieder rausnehmen, wenn die Syno nicht als DHCP Server für ein eigenes Netzwerk-agiert und dort eigenständig öffentlich ipv6 Adressen verteilen können soll. Die selbständige Portfreigabe bei ipv4 würde ich auch nochmal überdenken...
Alles andere sieht gut aus!
1. Dein LE-Zertifikat ist noch nicht der Domain zugordnet (Schaltfläche "Einstellung" im Screenshot "zertifikategeschwärzt.PNG" - entfern das Bild mal danach, da ist zu viel zu sehen...).
2. Der Reverse-Proxy Eintrag horcht auf Port 443, das Portforwarding von Port 8880 geht dran vorbei direkt auf den Container. Der Port auf den der RP horcht und der Port der weitergeleitet wird müssen zusammenpassen.
Offtopic:
3. Du hast bei der Portfreigabe für ipv6 auch die Delegation Prefixes freigegeben. Würde ich wieder rausnehmen, wenn die Syno nicht als DHCP Server für ein eigenes Netzwerk-agiert und dort eigenständig öffentlich ipv6 Adressen verteilen können soll. Die selbständige Portfreigabe bei ipv4 würde ich auch nochmal überdenken...
Alles andere sieht gut aus!
Zuletzt bearbeitet:
Okay. Wieso geht 8880 direkt an vorbei? Was habe ich da übersehen? Welchen Port habe ich denn vergeben den ich ändern müsste!? Hm
Das mit der selbstständigen Portfreigabe hatte ich erstmal gemacht um zu sehen ob es überhaupt funktioniert. Habe ich bereits geändert.
Ok die IPv6 habe ich entfernt.
Weil das bei der Syno der gemapte Host-Port des Containers ist. Wenn es durch den RP gehen soll, dann muss für das Portforwarding in der FB der im RP als Quell-Port angegeben Port angesprochen werden. Sprich: ich würde bei der FB Port 443 auf Syno-Port 443 setzen.
Sorry da kann ich jetzt leider nicht so ganz folgen. Du sprichst hier mit einem alten Mann
Wo muss ich welchen Port auf was ändern?
also auf der FB(Fritzbox richtig?) soll ich den Port 443 freigeben?
Wo muss ich welchen Port auf was ändern?
also auf der FB(Fritzbox richtig?) soll ich den Port 443 freigeben?
Leute ich bin hier raus aus dem Kindergarten. Hier müssen die Posts durch den Admin freigeschaltet werden, und die Beitrage werden dauernd gelöscht...solch einen Schwachsinn habe ich noch nicht erlebt.
@Mod: so kann man Leute vergraulen.
Tschüss
@Mod: so kann man Leute vergraulen.
Tschüss
Hier wurde doch nicht gelöscht. Deine Beiträge sind doch noch alle da.
Sorry das ich etwas schwer von KP bin, aber das ist im hohen alter nun mal leider so. Aber man versucht sich durch sowas etwas fit zu halten und das ist nun mal mein Hobby um noch was zu lernen.
Sorry das ich etwas schwer von KP bin, aber das ist im hohen alter nun mal leider so. Aber man versucht sich durch sowas etwas fit zu halten und das ist nun mal mein Hobby um noch was zu lernen.
Zuletzt bearbeitet von einem Moderator:
Was Du konfiguriert hattest:
WAN:8880 -> Syno:8880; Syno:8880 ist aber der Host-Port vom Container-Mapping. Damit ist der Traffic nie durch die Syno-RP gegangen.
Was Du haben willst:
WAN:443 (oder einen anderen) -> Syno:443 (weil der Quell-Port so im RP eingestellt ist), welcher korrekt auf Syno:8880 zeigt.
Offtopic:
meine wurden auch nicht gelöscht. Ich habe neue Erkenntnisse gesammelt und festgestellt, dass ich bzgl. MyFritz falsche Aussagen getroffen habe - natürlich habe ich diese durchgestrichen und einen Mod geben sie dort durchzustreichen, wo ich es nicht mehr selbst editieren konnte (danke nochmal!). MyFritz funktioniert halt anders als ich ursprünglich gedacht hatte.
Zuletzt bearbeitet:
Kleiner Nachtrag:
Wenn du Bitwarden starten willst, trage deine DDns Adresse:7271 ein. In deine FB gehst du auf Internet / Freigaben und richtest eine HTTPS Server Freigabe von Port 7271 auf 7277. ( für die Docker Instanz, nicht die DS Adresse)
Bitwarden lauscht auf der Adresse. Wie gesagt das Video von Zzz beschreibt das. Bei mir läuft das seit Jahren auf der DS und jetzt auf einem PI.
@Jack es wurden 2 Posts gelöscht.
Wenn du Bitwarden starten willst, trage deine DDns Adresse:7271 ein. In deine FB gehst du auf Internet / Freigaben und richtest eine HTTPS Server Freigabe von Port 7271 auf 7277. ( für die Docker Instanz, nicht die DS Adresse)
Bitwarden lauscht auf der Adresse. Wie gesagt das Video von Zzz beschreibt das. Bei mir läuft das seit Jahren auf der DS und jetzt auf einem PI.
@Jack es wurden 2 Posts gelöscht.
Jep. Und jetzt sollte der BW-Container durch den RP hindurch via https:///ddns-ip:8880 erreichbar sein.
Die "Verdrahtung" sieht jetzt wie folgt aus:
WAN:8880 -> Syno:443 == Syno-RP:443 -> Syno:8880 (=Host-Port vom Container) -> Container:80.
<---------- HTTPS -----------------------> <---- HTTP--------------------------------------------------->
Das Zertifikat hattest Du in den Einstellung des Zertifikatsmanagers der Domain zugewiesen, richtig? Sonst wird das Zertifikat nicht als gültig erkannt.
Sorry hatte versehentlich den Container gestoppt.
Aber funktioniert leider immer noch nicht.
Wenn die Adresse eingebe such er sich einen Wolf.
und dann kommt dies trotzdem:
Aber funktioniert leider immer noch nicht.
Wenn die Adresse eingebe such er sich einen Wolf.
und dann kommt dies trotzdem:
Anhänge
Zuletzt bearbeitet:
Das ist überraschend. Ich bin mir nicht ganz sicher, ob es daran liegt das der RP den eingehenden Request nicht auf denn Quell-Hostnamen matchen kann oder Probleme damit hat den Container zu erreichen.
Zum RP: Bitte überprüf mal ob es keinen Tippfehler beim Quell-Hostname (muss exakt die DDNS Domain sein, ohne http oder port) und Ziel-Hostname (ich hab hier immer localhost benutzt).
Zum Container: Teste mal, ob die containerisierte Anwendung grundsätzlich über http://nas-ip-oder-name:8880 erreichbar ist.
Zum RP: Bitte überprüf mal ob es keinen Tippfehler beim Quell-Hostname (muss exakt die DDNS Domain sein, ohne http oder port) und Ziel-Hostname (ich hab hier immer localhost benutzt).
Zum Container: Teste mal, ob die containerisierte Anwendung grundsätzlich über http://nas-ip-oder-name:8880 erreichbar ist.
So der Erfolg ist da. Habe sozusagen eine subdomain.meinesubdomain.synology.org erstellt und diese dann neu im Revers Proxy definiert.
Und siehe da kann nun darauf zugreifen.
So nun muss ich es nur noch irgendwie hinbekommen das ich auf die Admin-page komme. Hatte da schon was zu gefunden.
Bin mir nur nicht ganz so sicher ob ich das richtig verstanden habe, deswegen frage ich nochmal hier nach. Hoffe das es ok ist.
Zum einen muss ich mir einen Admin Token erstellen? Mit vielen Zeichen.
Dies dann bei den vaultwarden-container bei Umgebung hinzufügen mit einigen anderen variablen für die Mails?!
Oder den Token über ssh/putty einpflegen?
Und siehe da kann nun darauf zugreifen.
So nun muss ich es nur noch irgendwie hinbekommen das ich auf die Admin-page komme. Hatte da schon was zu gefunden.
Bin mir nur nicht ganz so sicher ob ich das richtig verstanden habe, deswegen frage ich nochmal hier nach. Hoffe das es ok ist.
Zum einen muss ich mir einen Admin Token erstellen? Mit vielen Zeichen.
Dies dann bei den vaultwarden-container bei Umgebung hinzufügen mit einigen anderen variablen für die Mails?!
Oder den Token über ssh/putty einpflegen?
Sorry hatte deinen Post glatt übersehen.
Habe es nochmal probiert und bei der anderen Domain im RP localhost eingetragen und da funktioniert es jetzt auch.
Die Lösung ist tatsächlich "localhost" einzutragen anstatt die IP-Adresse.
Habe es nochmal probiert und bei der anderen Domain im RP localhost eingetragen und da funktioniert es jetzt auch.
Die Lösung ist tatsächlich "localhost" einzutragen anstatt die IP-Adresse.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
